家里装了NAS,想从外网访问却连不上?路由器做了ref="/tag/851/" style="color:#E3A3CF;font-weight:bold;">端口映射,手机连回家摄像头却总提示“连接超时”?这时候光看设置界面是看不出毛病的,得动手抓个包,看看数据到底卡在哪一环。Wireshark 就是干这活儿的利器。
为什么端口映射失败?光看配置不够
很多人做完端口映射就以为万事大吉,但实际访问不了时,往往一头雾水。可能是防火墙拦了,可能是内网设备没响应,也可能是运营商封了常用端口。这时候打开 Wireshark,监听一下 WAN 口或关键节点的流量,真实的数据交互过程立马浮现出来。
安装Wireshark,选对网卡是第一步
去官网下个安装包,装好后打开,第一眼就是一堆网卡列表。如果你是在本机测试,比如访问一个映射到内网电脑的服务,选 WiFi 或以太网那个活跃的接口就行。要是用笔记本连路由器做抓包,最好插根网线接到路由器 LAN 口,避免无线信号干扰影响抓包完整性。
过滤目标流量,别被数据淹死
刚点开始抓包,满屏飞的数据看得人眼花。关键是要会过滤。假设你把外网 8080 端口映射到了内网 192.168.1.100 的 80 端口,那在过滤栏输入:
tcp.port == 8080或者更精确一点,只看进来的请求:
ip.dst == 192.168.1.100 && tcp.dstport == 80这样一眼就能看出外网请求有没有真正到达内网主机。
看三次握手成没成,判断通不通
当你从外网尝试访问服务,理想情况是看到 SYN → SYN-ACK → ACK 的完整三次握手。如果只有 SYN 进来,后面没动静,说明目标机器根本没回,可能是服务没开,也可能是系统防火墙挡了。如果 SYN 都没出现在抓包里,那问题可能出在路由器没正确转发,或是外网根本没发过来。
结合端口映射场景,实战排查
举个例子:你在公司想连家里的远程桌面,映射了 3389 端口。结果连不上。用 Wireshark 在家里的电脑上监听,过滤条件设为:
tcp.port == 3389发现完全没有数据包进来。再换到路由器上抓 WAN 口流量,同样查 3389,还是没有。这说明请求压根没到你家宽带。可能原因是公司网络限制,或者你记错了公网 IP。如果 WAN 口有包,但内网电脑没收到,那就是路由器转发规则没生效,回头检查 NAT 设置。
留意ICMP反馈,错误信息藏在这里
有时候你会看到一堆 ICMP 包,类型是 “Destination unreachable”。点开一看,代码显示 “port unreachable”,这说明 IP 转发没问题,但目标端口上没服务监听。这时候别折腾网络了,去检查内网那台机器的服务启没启动。
保存和分享抓包文件,协作排错更高效
遇到搞不定的问题,可以把 .pcapng 文件发给懂的人看。注意别包含敏感内容,比如登录密码之类的 HTTP 请求,可以在导出时用显示过滤器剔除。别人拿到包文件,用 Wireshark 打开,复现你的观察过程,很快就能定位问题。
网络不像电线,看不见摸不着,但数据包从不撒谎。学会用 Wireshark 看一眼,比反复试错省太多时间。端口映射配完别急着走,抓个包验证下,心里才踏实。